城市商业银行内部控制浅析

伴随着经济结构调整和金融开放程度日益加深、利率市场化的巨大冲击以及互联网金融的迅速崛起等外部环境的剧烈演变，城市商业银行在风险管控、内部治理等方面存在的隐患也逐步暴露出来，严重影响到城市商业银行的可持续健康发展，凸显出内部控制在城市商业银行未来整体布局中的重要性。本文以内部控制基本理论为依据，以甘肃省内城市商业银行为研究对象，分析内部控制存在的问题及原因，并有针对性地提出几点改进建议。

一、引言

城市商业银行（以下简称“城商行”）前身为20世纪80年代设立的城市信用社，是我国多层次金融体系中的重要组成部分。经过20多年的发展，目前全国共有城商行125家。根据国家金融监督管理总局数据，截至2023年8月末，城商行资产总额达到53.93万亿元，占到银行业金融机构13.6%；负债总额达到49.95万亿元，占到银行业金融机构13.7%。这一比例也在持续攀升当中，城商行在国家经济发展中承担着越来越重要的角色。这一点在地方经济中体现得尤为突出。根据国家金融监督管理总局甘肃监管局数据，截至2023年6月末，甘肃省金融机构资产总额达到3.85亿元、占到全国总量0.97%；负债总额达到3.7亿元、占到全国总量1.01%。目前甘肃省内金融机构（金融机构包括各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司、邮储银行、各省级农村信用联社，银监会直接监管的信托公司、企业集团财务公司、金融租赁公司等）共计28家，商业银行共计17家、城商行3家，三家城商行各项存款占甘肃省金融机构总量的42.94%、各项贷款占比27.81%，成为甘肃省内主流金融机构。同时，城商行总体规模体量小、市场定位不清晰、客户群体集中度高、产品创新不足等问题仍然突出。市场形势不利的背后隐含着内部控制的薄弱，潜伏着城商行风险管理的漏洞，在内部层面掣肘银行整体发展。因此，建立符合城商行经营战略目标、统筹发展与化险两条主线、与时俱进的内部控制管理体系是城商行各项工作的重中之重。

二、内部控制概述

（一）COSO框架

成立于1987年的美国COSO委员会专门研究企业内部控制问题，COSO委员会提出内部控制是需要企业各级人员实施与配合，用以促进运营效率和减少资产损失风险、合理保证财务报告的可靠性和对法律法规的遵从适用而实施的一系列管理程序和方法。

基于对内部控制的定义，COSO报告提出了内部控制的三大目标和五大要素，以此保障有效的内部控制，形成一个动态、反复且整合的过程。

（二）我国内部控制制度体系

我国内部控制制度体系在借鉴国际先进做法及实践的基础上，充分结合我国国情及企业管理实践，建立并推行了一套统一的、完整的内部控制制度体系，全面引导企业关注内部管理水平和全面风险防控能力的提升，并在以国内大循环为主体、国内国际双循环相互促进的新发展格局中不断更新迭代、实践升级。

目前，我国内部控制制度体系由基本规范和配套指引构成。基本规范规定了内部控制的目标、原则、要素等基本内容，起到框架作用。配套指引包括引用指引、评价指引和审计指引。在此基础上，针对小企业制定了《小企业内部控制规范（试行）》、2014年银保监会印发了《商业银行内部控制指引》，均是对现行内部控制体系的有利补充，进一步拓宽了内部控制体系的辐射外延。

对于COSO框架，我国内部控制制度体系的内涵更为深刻、外延更为全面，并且较早地提出了以风险为导向的内部控制，较早地关注了财务目标与非财务目标。同时不断丰富完善不同发展阶段、不同業务领域企业的内部控制体系，进而使内部控制体系更加有的放矢、因地制宜。

（三）《商业银行内部控制指引》

银监会2014年修订颁布的《商业银行内部控制指引》（以下简称《指引》），包括商业银行岗位职责、内控措施、保障机制、评价体系、监督管理等方面。其中评价体系、监督管理是新版《指引》全新编写发布的，一方面是用于适应新形势下银行业复杂的经营环境；另一方面更好地引领商业银行完善内部控制体系建设，纲领性文件指导各金融机构自发地、主动地完善内部控制体系，进一步促进内部控制体系有效建设及有效运行。

三、内部控制存在的问题

（一）重业务轻内控，内控文化尚未形成

近几年，随着市场环境不断变化，城商行已逐步认识到内部控制对其发展的重要性，也在制度、流程、考核、管理等多个维度优化、改进及完善内部控制。但城商行对经济周期性波动的依赖性较强，对各类金融风险抵御能力较弱。内部控制在先的银行文化或多或少会让步于业务发展，重业务轻内控的情况时有发生，无法一以贯之地有效执行内控管理体系，内部控制环境建设因此处于缓慢、迂回的发展阶段。

（二）重规避轻管理，风险管理尚有缺失

城商行风险管理主要由授信审批、会计运营、计划财务、内部审计等部门负责。就单个职能部门对单个风险实施管理，风险管理“令出多门”，被动地将风险管理作为成本中心，更多的是事后应对式的风险管理方法，首要目的在于规避风险或转移风险，而非主动管理风险，未形成事前防范预警、事中应急处理、事后评估分析的全流程体系。

（三）重形式轻效果，业务执行尚有偏差

在城商行制定的内部控制体系下，每一个业务条线均有与之相匹配的控制活动，但日常管理中普遍遇到的问题是执行有偏差不到位。究其原因，一是各层级机构对制度的理解程度有差异、对工作重要性认识不足，导致难以将内部控制各项活动执行到位；二是系统运行质量、人员力量等客观原因难以支撑各级机构将内部控制各项活动执行到位，对于系统维护、人员配备等工作又无法立即补足，旧的问题没有解决、新的问题接踵而来。

四、改进建议

（一）引导树立正确的发展观

发展与化险是目前城商行所面临的两大主要攻坚任务，业务稳健发展是其化解风险的重要方式也是必由之路。城商行的业务发展不仅仅是规模的扩张，更应该是质量与效益的发展，因此要正确应对业务发展与内部控制的关系。内部控制在一定程度上制衡业务发展，但从长远、从战略高度来看，二者是相辅相成、相得益彰的。所以城商行应从内外部形势、本行发展战略高度去看待业务发展，也要用同等眼光去看待内部控制，进一步保障城商行高质量可持续发展。严格选人用人，将职业道德素养和专业胜任能力作为选拔聘用及考核员工的重要标准，切实加强员工培训和继续教育，不断提高员工岗位所需素质能力；加强银行合规文化建设。应着力培养诚实守信、爱岗敬业、开拓创新、合规为先的企业文化，将员工行为管理纳入到绩效考核、年度评级、转岗定级、提拔晋升等方面，逐步培养员工合规理念和风险意识。

（二）完善全面风险管理体系

随着风险管理理念从传统风险管理向全面风险管理转变，使得风险管理从概念、目标、范围、内容等均发生了根本性变化。《中央企业全面风险管理指引》将全面风险管理定义为企业围绕总体经营目标，通过在企业管理的各个环节和经营过程中执行风险管理的基本流程，培育良好的风险管理文化，建立健全全面风险管理体系，包括风险管理策略、风险理财措施、风险管理的组织职能体系、风险管理信息系统和内部控制系统，从而为实现风险管理的总体目标提供合理保证的过程和方法。这一定义体现出全面风险管理战略性、全员化、专业性、系统性等特征。全面风险管理要紧密联系企业战略目标，站在战略层面积极主动地将风险管理作为价值中心，整合、统筹、规划、管理企业所面临的内外部风险，寻求风险管理下的所有利益相关者共同利益最大化。

作为实现企业战略目标的配套体系，城商行要持续加大全面风险管理体系构建所需的资金、人力、物力投入，建立一套管理架构健康完善，制度和程序有效运行，风险偏好、限额和预警设置科学，流程管理全面完备的风险管理体系，并系统性、有重点、持续性地优化、改进及迭代，以满足城商行不同发展阶段风险管理需求。主要从以下几个方面入手：

一是搭建有效制衡健全完善的管理架构。首先，建立健全管理组织体系，进一步明确董事会、监事会、风险管理委员会、审计委员会、高级管理层、风险管理职能部门、其余相关职能部门及分支机构的权力与职责，各司其职、各担其责，建立多层次、相互衔接、有效制衡的运行机制。其次，规范中后台职能部门人员管理，特别是关键岗位人员配备要确保其综合素质与所承担的职权相适应，推动中后台职能部门发挥效力。再次，完善分支机构监测、管理和报告职能，設立风险管理专岗，将管理架构延伸到经营一线，确立上下风险报告机制，推动风险管理前置化和精细化。最后，形成授权审批和放款线上集中作业模式，实现授信业务、放款、人员管理三集中，一方面统一从严把控全行信用风险，避免分支机构“各自为政”、标准不一；另一方面提高授信业务办理效率，提升授信审查审批工作专业化程度。

二是建立信息化管理系统。根据业务发展实际需求，搭建全面风险管理信息平台。将流动性风险、信用风险、操作风险、声誉风险、内控合规、客户评级、档案管理、风险预警、应急处理等全量风险实现系统化、流程化管控，尽量减少人工处理范围及处理频次。同时加大后期项目的评价与运维工作，确保系统有效平稳长期运行。根据风险监测、识别、评估、分析、防控和运用等数据需求，底层建立与业务发展阶段、产品性质、风险特性相衔接的数据标准，持续不断地广泛收集与本行风险和风险管理相关的内外部初始信息，包括历史数据和未来预测，以此为基础搭建数据集市，持续完善和更新数据信息，保障风险数据的准确性、合理性和连续性，进一步提高系统对各类风险的分析和预判能力。

三是健全完善风险管理制度和程序。根据不同风险来源、成因或影响，为每一类风险建立相应风险管理制度和体系程序文件。首先，评估目前风险管理流程和相关政策，结合存在的现实问题，重点对风险偏好、风险限额、风险管理策略、流动性管理、授信管理、内部审计体系等环节持续优化完善，进一步发挥其实效。其次，对标监管规定，结合城商行自身全面风险管理实际情况，建立风险评估体系即后评价体系，定期或专项评估风险管理质量。重点评估风险管理流程的合理性，各项机制体制、风险管理政策和程序执行的有效性，及时发现风险隐患和管理漏洞，形成全面风险管理体系建立、运行、评估、优化的良性循环，最终实现风险管理体系闭环有效运行。

（三）持续强化落地执行

总行职能部门在全行范围内开展内部控制管理体系建设规划及落地实施方案的宣贯和辅导，通过循环组织开展不同层级的政策宣讲、培训辅导、知识竞赛等，逐步建立上下一致的发展理念和合规文化。首先，组织全行上下开展关于内部控制落地实施或实践案例的交流研讨、跟岗学习等活动，切实加深全员对内控管理的认同感，逐步推动合规理念融入每位员工日常工作。其次，各二级机构根据本机构业务结构、区域特点、风险情况等逐步确立全行框架下本机构内部控制管理体系。鼓励各级机构用工作实践反哺到内部控制体系，逐步形成符合地域特色、具备经营特色的内控体系。最后，各职能部门要定期对各项内控制度的制定及各环节程序的运行情况开展评估和返检，形成评估报告并对发现的问题提出优化调整方案，及时修正完善，形成一套发现问题、解决问题、持续跟进的完善的良性机制。

（作者单位：甘肃银行股份有限公司）

作者简介：于婷，1991年12月出生，女，汉族，甘肃省兰州市人，硕士研究生，中级会计。研究方向：财务管理。